案例 | 人脸识别的告知同意该怎么做才是合法合规的？

立即扫码，报名《数据安全合规与实践课》11讲

漳州国润房地产人脸识别处罚案

基本案情

1.漳州国润房地产于2019年上半年开始在国贸天成小区的入户大堂设立“漳州国贸天成项目售楼处”，安排公司的营销人员在该售楼处进行营销办公，并于2020年7月份开始在该售楼处使用“人脸识别系统”。

2.漳州国润房地产对每次进入上述售楼处人员的人脸信息进行了拍照收集、并通过互联网传输到部署于阿里云“***平台”进行存储，在客户正式签订《商品房买卖合同》时，让客户在人证一体机刷身份证认证，一方面让客户签订《关于收集个人信息的知情同意书》，另一方面当事人使用的“***平台”会将刷证客户的证件图片传输到部署于阿里云“***平台”和系统采集到的人员人脸信息进行比对和匹配，当事人基于“***平台”上述匹配情况，对房产中介推介其国贸天成小区的分销带客有效性进行判断，如果客户是在分销商（中介）报备之后到访，且有成功签约买房，有刷人证一体机，当事人会给予中介佣金。当事人向住建部门提交正式购房的客户资料时，只提交了《商品房买卖合同》和客户身份证、户口本复印件等一些基础材料，当事人通过上述摄像头采集的人脸信息图像、人证一体机认证采集的客户人脸信息图像和《关于收集个人信息的知情同意书》并没有提交给住建部门。

3.漳州国润房地产于2020年7月份在上述售楼处入口玻璃门贴上标有“本售楼处安装有人脸识别系统，用于进行分销带客识别，我们承诺保护您的人脸等信息安全”的“温馨提示”，于2021年5月28日加做《关于漳州国贸天成项目售楼处现场采集人脸信息的告知书》立在国贸天成营销中心一楼入口处，以及制作并放置《关于收集人脸信息的知情同意书》于上述售楼处一楼洽谈区的洽谈桌。

市场监管局的观点

1.上述人脸图片信息和《关于收集个人信息的知情同意书》漳州国润房地产是用于公司内部分销带客有效性的一个鉴别，不是客户购房签订《商品房买卖合同》所必需的。

2.上述《告知书》、《知情同意书》虽然有标注“如您进入售楼处，视为您同意对您的人脸信息进行采集，存储和使用（仅为签约时）”、“我已知晓【本公司】收集、存储、使用上述人脸信息，并同意对其的收集、存储、使用行为”的提醒文字，但同时也标注有“如您不同意上述对您人脸信息的采集、存储、使用（仅为签约时），请您不要进入售楼处（包括但不限于销售案场、样板房、示范区），并与我司的工作人员进行联络”、“如您选择不同意我们上述收集、存储、使用人脸信息，请您不要进入【案场】，并通过【拨打电话号码/扫描二维码】与我们工作人员进行联络”的文字。因漳州国润房地产上述告知内容含有客户如不同意处理其人脸信息不要进入售楼处（包括但不限于销售案场、样板房、示范区）内容，当事人在上述售楼处摆放《关于漳州国贸天成项目售楼处现场采集人脸信息的告知书》、《关于收集人脸信息的知情同意书》的行为，不属于已征得客户同意的情况。

3.漳州国润房地产上述“人脸识别系统”启用以来，客户从售楼处入口处走到售楼处的沙盘区、展示区、样板房处过程期间，除了当事人在售楼处的保安在入口处向客户说“欢迎参观”，置业顾问在签到区进行判客时向客户咨询是不是首次到访，会向有带未满十四周岁的未成年人一起过来看房的客户聊到小孩子上学、读书的问题之外，漳州国润房地产在售楼处的工作人员没有和客户说到其他内容，当事人并未采集客户人脸信息取得客户的单独同意，也未取得客户的书面同意就对进入上述售楼处的客户人脸信息进行了采集，侵害了上述客户的人格权益。

4.当事人虽在客户正式签订《商品房买卖合同》的时候，会让客户在人证一体机刷身份证认证，让客户签订《关于收集个人信息的知情同意书》，但是此《知情同意书》是在客户人脸信息已被当事人采集之后签订的，当事人上述行为可认定为“未经用户同意收集使用个人信息”。

5.综上所述，当事人收集客户人脸信息是用于公司内部分销带客有效性的鉴别，不是客户购房签订《商品房买卖合同》所必需，且当事人收集、存储、使用客户人脸信息未征得客户个人同意，违反了《中华人民共和国消费者权益保护法》第二十九条第一款“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则...并经消费者同意...”的规定。

处罚决定

依据《消费者权益保护法》第五十六条“经营者有下列情形之一，法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照：...（九）侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的；...”，我局决定责令当事人立即改正违法行为，并对当事人作如下处罚：处100000元罚款。

适用的主要法律依据

1.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条规定，“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为抗辩的，人民法院不予支持。...（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；...”。

2.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条规定“信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为；...（三）就个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；...”。

3.国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理局总局办公厅联合制定的《App违法违规收集使用个人信息行为认定方法》（国信办〔2019〕191号）规定“征得用户同意前就开始收集个人信息...”可被认定为“未经用户同意收集使用个人信息”。

#DPOHUB介绍#

愿景

• 一个聚焦数据隐私和数据安全的非盈利性高端学术平台；

• 一个整合法律、技术及管理的专业数据合规生态体；

• 一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。

实践

• 宗旨：实现国际化和本土化深入融合的高端智库。以全球视野，为中国数据立法建言；以中国智慧，为国际数据规则献策。

• 定位：强调俱乐部的公益性、专业性及影响力。

• 形式：定期举行线下闭门会议，至少2月一次。

• 主题：意在解决企业最急需解决的数据合规实务问题。

• 方案：聚焦“法律+技术+管理”的落地化解决方案，强调差异化策略。

• 成员：发起人和会员都仅限甲方，乙方只能以合作者或志愿者方式有限度地参与。

• 特色：定期发布深度报告和白皮书，并择机结集出版。

会员申请|DPOHUB数据保护官俱乐部

申请条件

• 认可DPOHUB的理念及宗旨；

• 愿意积极参与DPOHUB的线上线下活动；

• 愿意参与撰写深度报告、白皮书及实务文章；

• 在甲方从事数据隐私或数据安全的工作；

• 愿意缴纳年费。
  

扫描二维码，立即报名